CASE: 이용자 개인정보로 서비스를 제공하는 스타트업
스타트업 A는 취미, 여가 정보를 제공하는 앱을 운영하고 있습니다. 취미, 여가와 관련된 이용자의 관심사를 파악하고 맞춤 서비스를 제공하기 때문에 회원 가입 시 이용자의 기본 개인정보를 받고 서비스 이용 중에 성별, 나이, 직업이나 사는 지역 같은 추가 개인정보를 받아 데이터베이스에 저장해 두었다가 서비스 제공에 활용하고 있습니다.
A는 앞서 출시된 다른 비슷한 앱들의 사례를 참고해서 이용자들로부터 ‘개인정보 수집에 관한 동의’를 받는 절차를 마련했습니다. 이용자 편의를 위해 앱을 최초 실행하면 “개인정보 수집 및 이용에 동의합니다”라는 문구가 뜨고 그 옆 체크 박스에 자동으로 ‘V’ 표시가 체크되도록 기본값을 설정했고 다음 단계에서 아이디를 정하고 이름, 전화번호 같은 개인정보를 입력하도록 했습니다.
A사가 조사해본 바로는 국내 앱 중에 이용자 동의를 받으면서 ‘어떤 정보를 수집하고, 어떤 목적으로 사용하는지’ 깨알 같은 글씨로 자세히 설명한 앱도 있었지만, 그런 앱은 좀 촌스럽게 보였습니다. 반면, 외국 앱들의 동의 절차는 문구도 비교적 간단하고 깔끔해 보였습니다. 그래서 외국 앱의 인터페이스를 참고해서 간단하게 ‘개인정보 수집 및 이용에 관한 동의 절차’ 페이지를 구성했습니다.
또, ‘개인정보 처리방침’은 유사한 서비스를 하는 국내 앱에 올라와 있는 내용을 다운로드받아 회사명과 서비스명만 바꾸고 사용했습니다. 서비스는 끊임없이 개선하고 업데이트했지만, 이 부분은 처음 게시하고 나서 크게 신경 쓰지 않았습니다.
이후 앱 이용자들이 빠른 속도로 늘었고 같은 속도로 운영비도 늘었습니다. 그러나 이용자 수는 빠르게 늘었지만, 수익 모델은 마땅치 않았습니다. 앱 내 광고로 어느 정도 수익을 얻고 있었지만, 회사의 운영비에는 크게 못 미쳤습니다. 당연히 적자 폭도 점점 커졌습니다. A는 고객과 투자자에게 회사를 소개할 때 영업손실에 대해서는 언급하지 않고 앱 이용자가 몇 명인지, 증가 속도가 얼마나 빠른지, 회원들의 개인정보를 얼마나 상세히 수집하고 이용하는지 자랑했습니다. A는 당장 수익은 내지 못하지만, 계속 이용자 수를 늘리고 정보를 많이 축적하여 차차 이익을 낼 계획입니다.
1. ‘개인정보 수집ㆍ이용’에 대한 동의 얻기
정보통신망법은 “정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음을 이용자에게 알리고 동의를 받아야 한다”라고 정하고 있습니다.
①개인정보의 수집ㆍ이용 목적
②수집하는 개인정보의 항목
③개인정보의 보유ㆍ이용 기간
스타트업 A는 간편한 동의 절차를 위해 이용자에게 위와 같은 정보를 알리지 않았기 때문에 정보통신망법 위반에 해당합니다. 이용자에게 알리지 않았다는 것은 곧 동의를 얻지 않지 않고 개인정보를 수집ㆍ이용한 것과 같습니다. A의 서비스에서 가장 중요한 자산이 이용자들의 개인정보인데 적법한 방법으로 이용자 동의를 얻지 않는다면 이를 사용하지 못하게 될 수 있습니다.
2. 서비스에 맞는 ‘개인정보 처리방침’ 작성하기
정보통신망법의 ‘개인정보 처리방침’에는 “다음 사항 등을 포함하여야 한다”고 정합니다.
①개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집방법
②개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인의 경우에는 법인명), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
③개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 포함)
‘개인정보 처리방침’은 말 그대로 개인정보에 관한 방침입니다. A는 다른 회사가 사용하는 개인정보 처리방침을 이름만 바꿔 사용했는데 개인정보 처리방침에 포함될 정보는 회사마다 또 서비스마다 달라서 다른 회사 양식을 참고하는 것은 괜찮지만 구체적인 내용은 반드시 회사의 사정에 맞게 작성해야 합니다. 또, 개인정보 처리방침은 수집하는 개인정보와 그 처리방침이 변경되면 그에 맞게 계속해서 개정하여 변경해야 합니다.
개인정보 동의 절차와 개인정보 처리방침은 앱 설치 시나 웹사이트 방문으로 쉽게 확인할 수 있고 그만큼 관계 기관이 모니터링을 통해서 쉽게 적발할 수 있습니다. 법률 전문가의 자문을 받아 회사의 서비스에 맞는 동의 절차와 개인정보 처리방침을 마련하시길 바라겠습니다.
* 위 사례는 이해를 돕기 위한 가상의 사례이며, 등장 인물, 회사, 단체, 서비스, 제품은 실존하는 것과 무관한 허구임을 밝힙니다.
* 이번 케이스 스터디는 현행 정보통신망법 및 개인정보보호법 내용을 해설한 것입니다. 데이터 3법 개정에 따라 2020년 8월 5일부터 시행되는 개정 법률에 관한 케이스 스터디는 추후에 업데이트할 예정입니다.
-글: 법무법인 세움 변승규 변호사
-원문: [변승규 변호사의 스타트업 법률 케이스 스터디] #11. 스타트업의 개인정보보호 (2)
관련 기사
